25.01.2023 13:32

Новости

Администратор

Автор:

Администратор

Безопасность в 2023 году: 6 трендов для ИТ-лидеров

От сохраняющихся проблем с цепочками поставок до проблем, связанных с периферией и внедрением AI/ML, вот главные тенденции в области безопасности, за которыми необходимо следить в предстоящем году.


Автор: Кевин Кейси, автор The Enterprisers Project

 

Вот новогоднее предсказание, которое вы, вероятно, никогда не услышите: «Проблемы ИТ-безопасности решены!»

 

Возможно, несколько переусердствовавших поставщиков могли бы наполнить свою презентацию такой энергией, но здравомыслящие ИТ-специалисты знают, что это нереалистично. Всегда будут существовать угрозы и риски кибербезопасности. Это верно в этом году, в следующем и — если человечество повсеместно не отключится от сети и не вернется к аграрной жизни охотников-собирателей — навсегда.

Это потому, что ИТ-системы и профессионалы, которые ими управляют, всегда подвержены ошибкам. И, скорее всего, всегда будут существовать вредоносные системы и профессионалы, которые стремятся использовать это.

 

Итак, наступил новый год — здравствуй, 2023-й, — но ИТ-безопасность, безусловно, не является чем-то новым или преходящим. Это динамичная проблема; риски и злоумышленники постоянно меняются, даже если некоторые базовые элементы (например, совместное использование или повторное использование учетных данных в нескольких учетных записях) остаются неизменными.

 

В этой напряженной обстановке вот шесть трендов, на которые ИТ-руководители будут обращать внимание в 2023 году.

 

1. Безопасность цепочки поставок остается в центре внимания, но работа только начинается

 

Термин «тренд» иногда подразумевает «новое», но в сфере ИТ-безопасности он с такой же вероятностью указывает на долгосрочный — если не постоянный — сдвиг. Например, безопасность цепочки поставок программного обеспечения была горячей темой в 2022 году и даже раньше. В 2023 году это будет постоянной областью внимания.

 

Сегодняшние цепочки поставок программного обеспечения разнообразны как никогда, поскольку программное обеспечение обычно создается из другого программного обеспечения. Соответственно обеспечение безопасности этих цепочек поставок должно быть долгосрочным обязательством.

 

Что может быть нового в 2023 году? Хотя люди, безусловно, много говорили о безопасности цепочки поставок программного обеспечения, им еще предстоит обязательно подкрепить свои слова в установленные сроки.

 

«Последний отчет Red Hat Global Tech Outlook показывает, что безопасность цепочки поставок программного обеспечения остается низким приоритетом финансирования безопасности среди лиц, принимающих решения в области ИТ», - говорит Гордон Хафф, технический евангелист Red Hat. «Это значит, что хорошим новогодним решением для многих организаций является разработка хорошего плана по обеспечению безопасности цепочки поставок, если они еще этого не сделали».

 

Положительный момент: для многих организаций это может не потребовать больших финансовых затрат — это в большей степени вопрос приверженности руководства, планирования и совершенствования процессов.

 

«Возможно, это даже не потребует больших инвестиций, но для этого необходим план и процессы, позволяющие снизить риск в будущем», - говорит Хафф.

 

Также ожидайте растущего внимания к важности безопасности Kubernetes как основы прочности более широкой цепочки поставок программного обеспечения.

 

«Безопасности цепочки поставок Kubernetes будет уделяться гораздо больше внимания», - говорит Алекс Мейер, руководитель отдела инфраструктуры в Corsha. Мейер надеется увидеть растущее внедрение таких вещей, как подписание и проверка образов контейнеров.

 

Коллега Мейера, инженер по инфраструктуре Роберт Бэтсон, также видит перспективы в новых инструментах. Бэтсон указывает на контроллер доступа от Sigstore в качестве примера, который «расширяет безопасность цепочки поставок до кластеров, где размещаются приложения и присоединяется к списку инструментов, с помощью которых мы загружаем кластеры, чтобы обрабатывать такие вещи, как наблюдаемость и безопасность в традиционном смысле этого слова»

 

2. Важный год для NIST Cybersecurity Framework

 

Профессионалы в области безопасности, без сомнения, уже знают о системе NIST Cybersecurity Frameworkправительства США, наборе общедоступных стандартов и методов управления рисками кибербезопасности и повышения статуса организации. Но это не означает, что их работодатели обязательно следуют этому, особенно если их отрасль или бизнес этого не требуют.

 

Кэм Роберсон, вице-президент Beachhead Solutions, ожидает, что 2023 год станет большим годом для интереса к платформе NIST и ее использования, даже если это не предусмотрено законом.

 

«Все больше организаций признают, что даже если они не обязательно связаны NIST, структура по-прежнему предоставляет особенно всеобъемлющие рекомендации по безопасности и лучшие практики, которые применимы ко многим другим мандатам, требуемым правительством (таким как CMMC или DFARS), а также к другим отраслевым мандатам (HIPAA и т.п.), где предприятия должны обеспечивать постоянное соблюдение требований», - говорит Роберсон.

 

Организации и команды, которые ранее не знали, с чего начать в масштабной и непрерывной области обеспечения безопасности и как предпринять измеримые действия, найдут своего рода дорожную карту в рамках такой структуры, как NIST.

 

«Пять «основных функций» и более 100 подкатегорий, которые предоставляет NIST, подробно описывают, как ИТ-директора, директора по информационной безопасности и специалисты по безопасности могут идентифицировать и обнаруживать угрозы, а затем реагировать на них и устранять их по мере необходимости», - говорит Роберсон.

 

То же самое можно сказать и о других широко доступных стандартах и инструментах, таких как CIS Kubernetes Benchmark или MITRE ATT&CK Framework.

 

Роберсон считает, что платформа NIST может стать популярной в 2023 году из-за ее глубины и широты.

 

«Риск нарушений и пробелов в соблюдении требований слишком высок, и NIST продолжит расти в 2023 году как межотраслевой стандарт — возможно, став стандартом де-факто, — который предприятия смогут использовать в своей стратегии безопасности», - говорит Роберсон. «Мы увидим, что еще много организаций приложат усилия, чтобы добиться соответствия требованиям NIST».

 

3. По мере роста периферийных вычислений растет и потребность в периферийной безопасности

 

По мере того как новые ИТ-парадигмы становятся просто нормальными — облако является одним из самых ярких примеров последнего десятилетия — безопасность парадигмы неизбежно становится критической.

 

Поскольку стратегии пограничных вычислений находятся в фокусе внимания или уже в разработке многих ИТ-лидеров, периферийная безопасность почти наверняка привлечет больше внимания в наступившем году.

 

Как и облако, пограничные вычисления принципиально не «менее безопасны», чем централизованные модели, — они просто вводят новые или отличающиеся риски и задачи.

 

Как говорит Джереми Линден, старший директор по управлению продуктами в Asimily: «Периферийные вычисления могут создавать дополнительные сложности, и это может затруднить защиту всей системы. Тем не менее, в них нет ничего менее безопасного по своей сути».

 

Скорее всего, безопасность на периферии в принципе потребует того же, что и любая область ИТ-безопасности: надлежащего планирования и расстановки приоритетов. 2023 год станет важным годом для закладки этого фундамента.

 

4. То же самое относится и к рабочим нагрузкам AI/ML

 

В упрощенном смысле вы могли бы заменить «периферию» выше на «искусственный интеллект/машинное обучение», чтобы проиллюстрировать тот же принцип: по мере того, как все больше компаний запускают в производство все больше моделей машинного обучения и других форм искусственного интеллекта, эти рабочие нагрузки будут представлять собой более привлекательную (и более сочную) цель для кибератак. Искусственный интеллект и машинное обучение были самым модным из трендов; их безопасность — нет, но это должно измениться в предстоящем году.

 

Кристофер Сестито, соучредитель и генеральный директор HiddenLayer, в частности, ожидает, что директора по информационной безопасности и другие ИТ-лидеры расширят подход нулевого доверия и внедрят его принципы и практики для AI/ML.

 

«2022 год стал годом усиления государственного надзора за безопасностью искусственного интеллекта и машинного обучения, а также упрощения ML-атак с помощью автоматизированных инструментов», - говорит Сестито. «Результатом будет повышение требований к директорам по информационной безопасности по защите AI/ML».

 

Сестито добавляет, что такие ресурсы, как платформа MITRE Adversarial Threat Landscape для искусственного интеллекта (ATLAS), «позволят директорам по информационной безопасности и их командам быстро оценивать и внедрять необходимые средства контроля безопасности, которые немедленно интегрируются с их существующими системами нулевого доверия».

 

5. Сейчас 2023 год: вы все еще знаете, где находятся ваши поставщики систем безопасности?

 

Мы все занимаемся ИТ и ИТ-управлением, а не прогнозированием фондового рынка или макроэкономическим анализом. Но если вы даже нерегулярно просматриваете какие-либо финансовые новостные сайты или ленты, заголовки в последнее время не были сплошь солнечными и прекрасными.

 

В рамках этой общей картины существует общее представление о том, что 2023 год может принести консолидацию и изменения в технологической отрасли.

 

«Многие эксперты рынка считают, что в 2023 году произойдет встряска поставщиков технологий, у которых нет сильного ценностного предложения и потока дохода», - говорит Хафф. «Лица, принимающие решения в области ИТ, должны оценить, имеют ли их поставщики сильные позиции на рынке».

 

Это общая истина, но она особенно актуальна в области ИТ-безопасности, где рынок поставщиков значительно расширился за последние годы, особенно в облачном пространстве.

 

«Это, безусловно, включает в себя сферу безопасности, поскольку наблюдается взрыв стартапов, внедряющих облачную безопасность часто пересекающимися и относительно недифференцированными способами», - говорит Хафф.

 

Управление поставщиками является частью роли любого ИТ-лидера. В 2023 году, возможно, стоит еще внимательнее следить за портфолио, особенно когда речь заходит об инструментах безопасности.

 

6. Высокоэффективные службы безопасности создают свои собственные каналы привлечения талантов

 

Нехватка навыков в области ИТ-безопасности — как правило, обладатель золотой медали в любой более широкой дискуссии о проблемах найма и удержания технических талантов — это старая новость.

 

Более недавняя тенденция заключается в том, что стратегические ИТ-руководители и организации не просто сидят сложа руки, ожидая, пока кто-то другой решит эту конкретную проблему. Они инвестируют в свои собственные каналы привлечения талантов в области безопасности и следят за тем, чтобы они охватывали самую широкую аудиторию.

 

«Мы прогнозируем, что ведущие организации продолжат уделять особое внимание диверсификации рабочей силы в киберпространстве с помощью программ, ориентированных на недостаточно представленные группы», - говорит Сестито. «Эти организации понимают, что их способность выходить за рамки рынка, решать сложные задачи, привлекать и удерживать клиентов зависит от наличия вовлеченных и разнообразных сотрудников по всему миру, и будут инвестировать соответствующим образом».

 

Сестито отмечает, что это также не временная тенденция. На самом деле расширение кадрового резерва в области кибербезопасности — это долгосрочная стратегия, а не решение на словах.

«Это не годичная кадровая стратегия», - говорит Сестито. «Скорее, это культурный сдвиг в масштабах всей организации, который требует многих лет внимания и приверженности».

 

Ссылка на источник


0


Нет комментариев. Ваш будет первым!
Загрузка...